【正文】 路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址 —— ip routestatic (如圖 2) 39 執(zhí)行 save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能 了。該 40 功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。在分組過濾 (網(wǎng)絡(luò)層 )一級(jí)，過濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān) (應(yīng)用層 )一級(jí)，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測(cè) Inter 提供的所用通用服務(wù)。有些防火墻集成了防病毒功能，通常被稱之為“病毒防 火墻”，當(dāng)然目前主要還是在個(gè) 41 人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增長(zhǎng)的需求。 44 參考文獻(xiàn) [1] 艾軍 .防火墻體系結(jié)構(gòu)及功能分析 [J].電腦知識(shí)與技術(shù) .20xx， (s):79 一 82. [2] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計(jì)算機(jī)應(yīng)用 .20xx， 23(6):311 一 312. [3] 孟濤 、 楊磊 .防火墻和安全審計(jì) [M].計(jì)算機(jī)安全 .20xx， (4):17 一 18. [4] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .20xx. [5] 魏利華 .防火墻技術(shù)及其性能研究 .能源研究與信息 .20xx， 20(l):57 一 62 [6] 李劍，劉美華，曹元大 .分布式防火墻系統(tǒng) .安全與環(huán)境學(xué)報(bào) .20xx， 2(l):59 一 61 [7] 王衛(wèi)平，陳文惠，朱衛(wèi)未 .防火墻技術(shù)分析 .信息安全與通信保密 .20xx， (8):24 一 27 [8] 付歌，楊明福 .一個(gè)快速的二維數(shù)據(jù)包分類 算法 .計(jì)算機(jī)工程 .20xx， 30(6):76 一 78 [9] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類技術(shù) .計(jì)算機(jī)工程與應(yīng)用 .20xx(8):63一 65 [10] 〕韓曉非，王學(xué)光，楊明福 .位并行數(shù)據(jù)包分類算法研究 .華東理工大學(xué)學(xué)報(bào) .20xx，29(5):504 一 508 [11] 韓曉非，楊明福，王學(xué)光 .基于元組空間的位并行包分類算法 .計(jì)算機(jī)工程與應(yīng)用 .20xx，(29):188 一 192 [12] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計(jì)算機(jī)研究與發(fā)展 .20xx，40(3):387 一 392 45 致謝 從論文選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復(fù)雜。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計(jì)算機(jī) 界的名師大家，大師風(fēng)范，高山仰止。那種感覺就宛如在一場(chǎng)盛大的頒獎(jiǎng)晚會(huì)上，我在晚會(huì)現(xiàn)場(chǎng)看著其他人一個(gè)接著一個(gè)上臺(tái)領(lǐng)獎(jiǎng)，自己卻始終未能被念到名字，經(jīng)過了很長(zhǎng)很長(zhǎng)的時(shí)間后，終于有位嘉賓高喊我的大名，這時(shí)我忘記了先前漫長(zhǎng)的無聊的等待時(shí)間，欣喜萬(wàn)分地走向舞臺(tái)，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向 安徽水利水電職業(yè)技術(shù)學(xué)院 ， 電子信息工程 系計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) 的全體老師表示由衷的謝意。 (2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信 帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 第一步：通過 CONSOLE 接口以及本機(jī)的超級(jí)終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。 軟件的配置與實(shí)施 以 H3C 的 F100 防火墻為例 ， 當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體配置。默認(rèn)情況下防火墻會(huì)自動(dòng)建立 trust 信任區(qū)， untrust 非信任區(qū)， DMZ 堡壘主機(jī)區(qū)以及LOCAL 本地區(qū)域。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè) LAN 接口作為外網(wǎng)連接端口。還要看投資經(jīng)費(fèi)、投資大小、技術(shù)人員的水平和時(shí)間等問題。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由器。 34 子網(wǎng)屏蔽防火墻 在主機(jī)屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對(duì)堡壘主機(jī)沒有任何防御措施，如果黑客成功入侵到主機(jī)屏蔽體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無阻擋的進(jìn)入了內(nèi)部網(wǎng)絡(luò)?？傊Ｗo(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。 主機(jī)屏蔽防火墻 實(shí)際上，我們常常把屏蔽路由器作為保護(hù)網(wǎng)絡(luò)的第一道防線。 主機(jī)屏蔽防火墻 32 主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。然后防火墻運(yùn)行代理軟件控制數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)流向另一個(gè)網(wǎng)絡(luò)，這樣內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)就可以訪問外部網(wǎng)絡(luò)。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。 雙宿主主機(jī)防火墻 30 多宿主主機(jī)這個(gè)詞是用來描述配有多個(gè) 網(wǎng)卡 的主機(jī)，每個(gè)網(wǎng)卡都和網(wǎng) 絡(luò)相連接。 圖 流過濾示意圖 29 在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層， 在規(guī)則允許下，兩端可以直接訪問，但是任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的 TCP 協(xié)議的實(shí)現(xiàn)，依據(jù) TCP 協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識(shí)別并攔截應(yīng)用層的攻擊企圖。如果數(shù)據(jù)是 Mail 類型，則檢查郵件的附件。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。 簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過濾對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測(cè)，但是對(duì)于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通 1024 號(hào)以上的端口，使安全性得到進(jìn) 一步地提高。這樣 ，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否 。實(shí)際上，在深度包檢測(cè)技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢(shì)。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識(shí)字段和片偏移字段、 TCP 首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí)行數(shù)據(jù)包過濾。 (3)只對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測(cè)，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。 。這種技術(shù)實(shí)現(xiàn)簡(jiǎn)單，處理速度快，對(duì)應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。IP 數(shù)據(jù)報(bào)頭部信息主要是源 /目的主機(jī)的 IP 地址 。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(bào)(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。 由于其主要是對(duì)數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。 所謂包過濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并 22 依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter 相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Inter上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。同時(shí) 也常結(jié)合入過濾器的功能。它是針對(duì)數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。比如訪問 WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80 端口的連接通過，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)， 對(duì)用戶來說都是透明的。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號(hào)， ICMP 消息類型， TCP 包頭中的ACK 等等。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶可選擇是否封禁色情、反動(dòng)和暴力等特殊站點(diǎn)。 。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“ sql 蠕蟲王”為代表。防火墻設(shè)備可檢測(cè)包括針對(duì) Unicode、 ASP 源碼泄漏、 PHF、 NPH、 等已知上百種的有安全隱患的CGI/IIS 進(jìn)行的探測(cè)和攻擊方式。 CGI/IIS 服務(wù)器入侵?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多種 17 DOS/DDOS 攻擊。 。是否支持 FTP、 Web 服務(wù) 。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服 務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對(duì)專用網(wǎng)絡(luò)的非法訪問 。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫(kù) 。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。三是傳統(tǒng)的防火墻無法區(qū)分識(shí)別善意和惡意的行為。主要有以下三個(gè)原因 : 一是傳統(tǒng)防火墻的計(jì)算能力的限制。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。 第 二代、第三代 防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)